五月安全舆情报告

2018-06-08 来源:原创 作者:腾讯反病毒实验室
【文章摘要】五月互联网安全舆情报告
一,国际舆情概况

根据腾讯反病毒实验室的后台统计,五月热议话题分别是漏洞、有害样本、攻击事件、钓鱼事件、勒索敲诈、IoT安全。其中钓鱼邮件、银行木马、挖矿三个话题较上月分别有不同程度的增幅,但是勒索敲诈类话题本月下降明显。整体安全话题也有些许下降。下图为五月资讯分布情况。

五月出现的重大安全事件包括ZenMate VPN浏览器插件存在漏洞,影响350万用户;Roaming Mantis恶意软件通过篡改无线路由器DNS感染智能手机;VPNFilter僵尸网络以网络设备为目标,已感染了54个国家约 50 万台网络设备;新型Monero挖矿木马在Mac端兴起;2018世界杯主题的垃圾邮件来袭;加拿大两家最大的银行称近9万名客户的数据遭泄漏。


二,热点安全事件概况

   下面分别从几个占比较大且有特点的安全类型展示本月热点事件。


漏洞安全


系统漏洞、应用软件漏洞被频频爆出,用户需关注厂商及时发布的补丁,做好系统升级、软件更新和安全检测软件的更新。本月热门漏洞事件有以下三例:ZenMate VPN浏览器插件存在漏洞,影响350万用户;Microsoft Teams URL命令注入漏洞;新发现8个CPU新漏洞,英特尔、ARM等芯片受影响。


 ZenMate VPN 浏览器插件存在漏洞导致用户真实地址泄漏,影响 350 万用户
ZenMate是一家拥有超过4300万用户的VPN提供商,它提供多种浏览器扩展来使用他们的VPN。截至本文撰写之时,浏览器扩展总共有大约350万用户。用于Chrome和Firefox的ZenMate VPN客户端信任过过期的域名zenmate.li,所以它可以通过消息传递对浏览器扩展进行特权API调用。在没有任何用户交互的情况下,利用这个漏洞可以获取用户的所有账户信息,如账户ID,电子邮件地址,身份验证UUID和可用于登录受害者账户的令牌,电子邮件列表,账户类型,订阅信息,用户所在国家,平台登录时间,以及是否链接VPN等信息。


Microsoft Teams URL 命令注入导致的远程任意代码执行漏洞披露(CVE-2018-1000006)  
CVE-2018-1000006漏洞允许远程攻击者在Microsoft团队的安装程序上执行任意代码。但是需要用户交互才能利用此漏洞,因为目标用户必须访问恶意页面或打开恶意文件。缺陷存在于msteams URL处理程序的处理过程中。解析特定URL时,在使用它执行系统调用之前,该进程没有正确验证用户提供的字符串。攻击者可以利用此漏洞以当前用户的上下文来巧妙的执行代码。


研究者又发现8个CPU新漏洞 英特尔、ARM等芯片受影响
德国计算机杂志《c't》报道称,研究人员在计算机CPU内找到8个新漏洞,这些漏洞与Metldown、Spectre有点相似。杂志还说,英特尔准备发布补丁,修复漏洞,ARM的一些芯片也受到影响,至于AMD芯片是否也存在同样的问题,研究人员正在调查。《c't》没有披露信息的来源,因为研究人员会优先通知相应公司,在公司找到修复补丁之后再公开自己的发现。

流行木马


木马技术随着杀软检测手段的提升而不断升级,变种的更新也越来越频繁,出奇创新,这就要求用户不但安装杀毒软件,还要关注杀软更新、及时升级病毒库,以达到对病毒的有效防范。本月爆出的新型变种典型的有三类:巴西银行木马通过Microsoft SQL Server进行CNC通信;Roaming Mantis恶意软件通过篡改无线路由器DNS感染智能手机;Vega Stealer 恶意软件瞄准 Chrome,Firefox 浏览器,窃取浏览器保存的用户凭证以及信用卡信息。


巴西银行木马通过 Microsoft SQL Server 进行 C&C 通信
研究人员发现了一个银行木马,它使用一种不寻常的命令和控制(C&C)服务器,研究人员透露,攻击者正在使用名为MnuBot的恶意软件 - 主要在巴西针对开放银行会议的非法交易。MnuBot 与大多数RAT具有相同的功能,它允许攻击者远程访问受感染的机器,包括在受害者的机器上显示各种银行的伪造窗口。远程访问特洛伊(RAT)的独特之处在于,它不断向Microsoft SQL数据库服务器查询要执行的命令,为攻击者提供更好的动态配置和反研究功能。今天野外的大多数恶意软件都使用基于某种形式的Web服务器或IRC频道的C&C服务器。相反,MnuBot恶意软件使用Microsoft SQL Server数据库服务器与样本进行通信并发送要在受感染机器上执行的命令。


Roaming Mantis 恶意软件通过篡改无线路由器 DNS 感染智能手机
前段时间,发现一款Roaming Mantis恶意软件。当时,受影响的人主要来自日本,韩国,中国,印度和孟加拉国的用户,然而,一个月以后,Roaming Mantis又增加了二十多种语言,并迅速在世界各地传播。恶意软件使用受感染的路由器感染基于Android的智能手机和平板电脑。然后,它将IOS设备重定向到钓鱼网站,并在台式机和笔记本电脑上运行CoinHive挖矿脚本。它是通过DNS劫持的方式实现的,这使得目标用户难以发现某些问题。他们劫持被破坏的路由器的设置,迫使他们使用他们自己的流氓DNS服务器。这意味着无论输入连接到此路由器的设备的浏览器地址栏中的内容如何,用户都会被重定向到恶意站点。


Vega Stealer 恶意软件瞄准 Chrome,Firefox 浏览器,窃取浏览器保存的用户凭证以及信用卡信息
一个名为Vega Stealer的恶意软件被发现,通过Chrome和Firefox浏览器保存凭证和信用卡信息,是August Stealer的变种。它具有父恶意软件功能的子集以及其他功能。除了窃取浏览器数据之外,Vega也可以从受感染的机器中泄漏Word,Excel,PDF和文本文件。此外,Vega中的Chrome浏览器窃取功能是August Stealer代码的一部分; August也从其他浏览器和应用程序中窃取信息,如Skype和Opera。Vega的新功能包括新的网络通信协议和Firefox浏览器窃取功能。

攻击事件


本月热门攻击事件:VPNFilter僵尸网络以网络设备为目标,已感染了54个国家约 50 万台网络设备;一周内恶意 PHP 脚本感染了 2400 个网站。


VPNFilter僵尸网络以网络设备为目标,已感染了54个国家约 50 万台网络设备
至少54个国家/地区受感染设备的数量不下500,000。受VPNFilter影响的已知设备有小型和家庭办公室(SOHO)空间中的Linksys,MikroTik,NETGEAR和TP-Link网络设备以及QNAP网络附加存储(NAS)设备。VPNFilter恶意软件的组件可以窃取网站证书并监控Modbus SCADA协议。最后,恶意软件具有破坏性的能力,可以使受感染的设备不可用,这可以在个别受害者机器上触发或集体触发。


一周内恶意 PHP 脚本感染了 2400 个网站
Brain Food的僵尸网络,通过在合法网站上托管的网页推销虚假减肥药和智商增强药。到目前为止,由于有效的超文本预处理器(PHP)脚本(也称为Brain Food),垃圾邮件发送者已经取得了成功,该脚本已经巧妙地避开了网站检测。在一周的时间内,有2400个网站被感染推销可疑药片 。Brain Food的代码是多态的,并且使用多层base64编码进行混淆。另外该僵尸网络有个特点,当一个网站被感染后,抓取PHP代码时,脚本会重定向到正确的页面。

挖矿事件


数字加密货币的挖掘热度在本月依然不减,并且Mac端、Linux端的挖矿木马也逐渐兴起,这就要求Mac、Linux用户也需要注意及时更新系统及软件的补丁,从正规渠道下载软件,注意CPU使用情况及电池的耗电情况,警惕挖矿木马。本月的热门挖矿事件主要有:新型Monero挖矿木马在Mac端兴起;在Ubuntu Snap Store上找到包含Bytecoin加密货币矿工的恶意软件包;近400个Drupal站点感染恶意软件,秘密挖掘加密货币。


新型Monero挖矿木马在Mac端兴起
近期,大量Mac用户感染了一种新型Monero挖矿木马,一个名为“mshelper”的进程会消耗大量的CPU电力并耗尽他们的电池。该挖矿软件由伪装的Adobe Flash Player安装程序安装,通过用户从非官方网站下载或特意诱骗受害者打开他们的诱饵文档。该木马在目标系统上开始执行时,就会启动两个svchost.exe进程,一个执行挖矿任务,另一个在后台运行,用于感知防病毒保护并避免检测。


在Ubuntu Snap Store上找到包含Bytecoin加密货币矿工的恶意软件包
在官方Ubuntu Snap Store 上托管的Ubuntu Snap Package的源代码中发现了一个恶意软件,经分析表明它是一个加密货币挖矿木马。挖掘Bytecoin(BCN)加密货币,恶意软件中硬编码的帐户是“myfirstferrari@protonmail.com”。恶意应用程序是2048buntu,它是2024游戏的合法版本,包含在Ubuntu Snap中,同一开发人员上传的另一应用程序也包含该挖矿恶意代码。由于Ubuntu Snap Store没有提供安装计数,因此无法确定受影响的用户数量。


近400个Drupal站点感染恶意软件,秘密挖掘加密货币
5月上旬,近400个网站遭受了恶意攻击,主要是美国的政府机构、教育机构及一些科技公司的网站。这些网站均是使用了旧版本的Drupal内容管理系统,被恶意软件利用了其中的关键远程代码执行漏洞(CVE-2018-7600),植入了Coinhive挖矿服务。所有受感染的JavaScript代码都指向相同的域名(vuuwd.com)和相同的Coinhive密钥,并且该挖矿服务限制了对受害者CPU的占有率,以减低被发现的可能性。

垃圾邮件


随着2018世界杯赛事的临近,黑客开始以足球为标题大量分发垃圾邮件。本月垃圾邮件的热门事件主要为:2018世界杯主题的垃圾邮件来袭。


2018世界杯主题的垃圾邮件来袭
世界杯赛事门票发售时是黑客发送垃圾邮件的高发时期,一种方式为通知收件人在由官方合作伙伴和赞助商(Visa,可口可乐,微软等)以及FIFA本身举办的彩票中获得现金奖金,这些邮件通常包含附件,有的会要求收件人支付一部分邮费或银行转账费用,主要目的是收集用户数据(包括财务信息等)并提取小额汇款,附件则有可能是损害收件人利益的恶意软件。
另一种为是为收件人提供参与门票、赠品或赢得比赛之旅。受害者需要在黑客所提供的假的页面上注册并提供电子邮件地址,向“组织者”发送其联系方式。这种方案的目的主要是更新电子邮件数据库,以分发更多的垃圾邮件。

数据泄露事件


本月热门数据泄漏事件主要有以下三件:加拿大两家最大的银行称近9万名客户的数据遭泄漏;开普敦一个在线交通平台中近百万用户个人信息发生泄漏;欧洲北美铁路公司网站被入侵,大量用户敏感信息遭泄露。


加拿大两家最大的银行称近9万名客户的数据遭泄漏
5月底,蒙特利尔银行和加拿大帝国商业银行近9万名客户的数据遭受网络犯罪分子窃取,两家银行都了解黑客窃取的数据,意味着他们的检测和预防措施完全失效。黑客试图勒索银行,可能是因为被窃取的数据不如黑客所想的那么有价值。目前尚未有消息说是否有客户因为此次的信息泄露事件而遭受损失。


开普敦一个在线交通平台中近百万用户个人信息发生泄露
近期,南非开普敦一个在线交通平台的个人数据库发生泄露,所泄露的数据包含近百万名用户的姓名、身份证号、电子邮件地址,以及南非公民报告的明文形式存储的密码。造成数据泄露的主要原因可能是该在线平台对数据安全性的疏忽,其敏感数据的备份似乎保存在可公开访问的目录中。


欧洲北美铁路公司网站被入侵,大量用户敏感信息遭泄露
欧洲北美铁路公司(RENA)告知客户他们已经发现证据表明黑客未经授权而访问其用于预订机票的电子商务网站,并可能窃取了大量敏感数据——客户的姓名、性别、地址、电话号码、电子邮件地址、信用卡/借记卡卡号、支付卡到期日期等,并且已经表明黑客侵入RENA系统已有近3个月的时间。这一事件可能是由于RENA内部员工密码泄露导致黑客可进入系统,或者是其电子网站有未修复的漏洞导致黑客可远程利用并入侵其网络。

电脑管家V12.13

4大安全能力再升级

详情>>

版本更新:2018.3.20